5、JDBC解决sql注入问题

已于 2023-03-28 20:26:44 修改
阅读量201 收藏
点赞数
分类专栏: 数据库基础 文章标签: sql 数据库 java
于 2023-03-28 20:13:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45361382/article/details/129823759
版权

JDBC解决sql注入问题

使用PrepareStatement解决SQL注入问题,前面我们使用拼接实现username和password的动态赋值,会产生sql的问题。问题在于sql语句的主体部分没有确定,会随着sql拼接,主体会改变,该sql属于静态sql。此处我们使用预编译sql,也就是sql的主体部分已经定死,不能更改。
两种实现方法的区别:
	preparestatement需要传递sql语句
	statement不需要传递sql语句

private static void method2() throws SQLException {
        Scanner scanner = new Scanner(System.in);
        System.out.print("请输入登录名:");
        String username = scanner.nextLine();
        System.out.print("请输入密码:");
        String pwd = scanner.nextLine();

        /*Class.forName("com.mysql.jdbc.Driver");
        Connection connection = DriverManager.getConnection("jdbc:mysql:///db1", "root", "root");*/
        Connection connection = JDBCUtils.getConnection();
        //Statement statement = connection.createStatement();
        //String sql = "select * from account where usernsme ='"+username+"'and password = '"+ pwd + "';";
        String sql = "SELECT * FROM account WHERE username = ? AND PASSWORD = ?;";
        PreparedStatement statement = connection.prepareStatement(sql);
        //给?赋值
        statement.setString(1,username);
        statement.setString(2,pwd);
        //执行sql语句
        ResultSet resultSet = statement.executeQuery();
        if (resultSet.next()) {
            System.out.println("登录成功!!!");
        } else {
            System.out.println("登录失败!!!");
        }

        /*resultSet.close();
        statement.close();
        connection.close();*/
        JDBCUtils.close(resultSet,statement,connection);
    }
Distant Blue
关注
专栏目录
JAVA高级】——吃透JDBC中的SQL注入问题解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题解决方案
JDBC如何防止SQL注入
qf2019的博客
08-25 2203
JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入问题, 那么,什么是SQL注入,以及如何防止SQL注入问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
JDBC如何有效防止SQL注入
rentian1的博客
09-01 1205
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入问题, 那么,什么是SQL注入,以及如何防止SQL注入问题。 一什
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
JDBC解决SQL注入问题
MarconiYe的博客
04-04 898
我们在通过JDBC执行SQL语句时,为了避免SQL注入,可以用PrepareStatement来代替Statement来获取数据库操作对象,这两个接口的区别如下(如果对JDBC基础操作不熟悉,可参考我的另一篇文章) Statement接口: 先进行字符串的拼接,再进行SQL语句的编译,这就给到了不法分子可乘之机 PrepareStatement接口: 先进行SQL语句的预编译,再进行传值操作,可以有效避免SQL注入问题 Statement state = con.createStatement(); S
JDBC编程——SQL注入问题以及解决方案
Best_Basic的博客
09-05 1017
SQL注入即是指应用程序对用户输入数据的合法性没有判断或过滤不严,一些非法攻击者可以在应用程序中事先定义好的查询语句的结尾上添加额外的,导致在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 解决SQL注入问题的方案: 只要用户提供的信息不参与sql语句的编译过程,问题解决了。 即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,仍然不起作用 。
JDBC--解决sql注入
tianqinglei的博客
06-26 452
sql注入 由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字, 达到改变SQL运行结果的目的,也可以完成恶意攻击。   示例: 在输入用户名时  tom' or '1'='1 这时就不会验证密码了。 解决方案: PreparedStatement(重点) 它是一个预处理的Statement,它是java.sql.Statem
JDBC PreparedSatement 解决 SQL 注入问题
Regino的博客
05-09 406
本文介绍了 JDBC 中用 PreparedSatement 类解决 SQL 注入问题的相关内容。。。
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包` 2.加载驱动类 3.创建数据库连接对象`Connection` 4.创建`Statement` (此处存在SQL注入问题)...
#JDBC_解决SQL注入现象(必须使用SQL注入的需求)
qq_53239252的博客
08-05 88
#JDBC_解决SQL注入现象(必须使用SQL注入的需求)
JDBCsql注入
PP东博客
08-22 748
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。
JDBCSQL注入
最新发布
每日一记,每周一结。
10-07 731
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
jdbc——sql注入
m0_72960906的博客
10-31 972
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC中的SQL注入
DZH2020的博客
08-14 1148
JDBC中的SQL注入
JAVA-JDBC解决SQL注入问题
sinat_41883676的博客
02-11 323
只要用户提供信息不参与SQL语句的编译过程,问题解决了。 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用。 PreparedStatement预操作 使用java.sql.PreparedStatement,其继承了java.sql.Statement PreparedStatement是属于与编译的数据库操作对象。 import java.sql.*; publi...
JDBC——SQL注入解决SQL注入的方法
hjk12345678910的博客
04-13 559
SQL注入原理 如下列代码 String sql="select * from t_user where loginName='"+userLoginInfo.get("loginName")+"' and passWord='"+userLoginInfo.get("passWord")+"'"; rs=s.executeQuery(sql); 在接收用户输入用户名和密码时,如果用户输入用户名为qw,密码输入qw’ or ‘1’='1,则执行的sql语句变为 select * from hero w
JDBCsql注入问题解决
weixin_49512993的博客
07-30 261
文章目录**JDBCsql注入问题解决**一、sql注入问题1、sql注入的影响:2、jdbcsql注入的例子:二、PreparedStatement对象1、PreparedStatement对象与Statement对象的区别: JDBCsql注入问题解决 一、sql注入问题SQL作为字符串通过API传入给数据库数据库将查询的结果返回,数据库自身是无法分辨传入的SQL是合法的还是不合法的,它完全信任传入的数据,如果传入的SQL语句被恶意用户控制或者篡改,将导致数据库以当前调用者的身份
jdbc sql注入
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据中注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值